Download presentation
Presentation is loading. Please wait.
1
Satoshi Inazawa Technical Solutions Architect – Cyber Security
Cisco Defense Orchestrator および Cisco Security Analytics and Logging のご紹介 CTU Security 2019 December Satoshi Inazawa Technical Solutions Architect – Cyber Security December 19th 2019
2
本日のアジェンダ CDOとは(おさらい) Security Analytics and Logging (SAL) ポジショニング
何ができるのか? Security Analytics and Logging (SAL) ポジショニング ロードマップ
3
Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは? 何ができる? SAL ポジショニング ロードマップ © Cisco and/or its affiliates. All rights reserved
4
今日のネットワークセキュリティ管理はどんどん大変に…
5
今日のセキュリティ管理のチャレンジ 多様なセキュリティデバイスと サービスの組み合わせ 異なる管理コンソールとポリシー フォーマット
手動、サイロ化された変更管理 プロセス
6
複雑さに起因するコスト 非効率なプロセスによる貴重 な時間の消費 リソース不足(高度な専門性 を持ったスタッフの確保)
時間のロス 非効率なプロセスによる貴重 な時間の消費 リソース不足(高度な専門性 を持ったスタッフの確保) セキュリティー侵害につなが る一貫性のないポリシー コスト(費用)の増加 脆弱なセキュリティ
7
Cisco Defense Orchestrator (CDO)とは?
クラウドサービス Ciscoの複数のセキュリティデバイスに対して、セキュリティポリシーをシンプルに、一括して管理 CDOによる集中管理の下で、ポリシー管理、設定管理、OSイメージ管理の機能を提供 お客様のセキュリティ管理体制を強化し、効率的なネットワークオペレーションを提供 主な利点 機能 セキュリティ管理の合理化 セキュリティ管理タスクに費やす時間を大きく削減 複雑性を軽減しながら、より優れたセキュリティを実現 対応の優先順位付け 一貫したセキュリティポリシーのデプロイメント 迅速なデバイスの デプロイメント コンフィグレーション 管理
8
CDOサポートプラットフォーム 2019/12現在 Hardware Software ASA 5500-X
ASA FTD 6.4+ Firepower 1000 ASA FTD 6.5+ Firepower 2100 Firepower 4100, 9300 ASA FTD 6.5+ Virtual KVM, VMWare ASAv FTD 6.4+ Virtual AWS, Azure ASAv FTD 6.5+* *Azure Only, AWS coming Meraki MX Supported Now* *L3/L4 Policy Only AWS VPC Supported Now
9
クラウド管理の利便性 マルチテナント 新機能実装までの速さ セキュリティ重視 迅速な価値実現 拡張性の高さ インテグレーション
10
データベースや暗号トラフィックへの認証キーを取得するためにOauthトークンを使用
CDO アーキテクチャ: 安全性と柔軟性 管理するネットワークデバイスとはTLS1.2を使用してAPI接続 顧客 A コンフィグレーションは保管時、および転送時に暗号化 認証・認可サーバ データベースへのアクセスにはキーが必要 CDO データセンター ロケーション: AWS – US West AWS – US East AWS – EU Central 顧客 B Oauthトークンの取得 認証 ブラウザ Restコール SAMLベースの2要素認証によるロールベースのアクセス制御を利用して管理アクセスを保護 Oauthトークンの送信 データベースや暗号トラフィックへの認証キーを取得するためにOauthトークンを使用 顧客 C キーマネージャー
11
CDOコンポーネント; Secure Device Connector (SDC)
port 443 (https) データセンター 管理デバイス Secure Device Connector Message Queue SDCよりCDOに数秒間隔で定期的なポーリング outbound port 443 inbound port 443 SDCからデバイスに定期的なポーリング
12
Secure Device Connector Secure Device Connector
SDCデプロイメントパターン クラウド SDC オンプレミス SDC 動的IPを利用している SALを利用してイベントを送信したい など Secure Device Connector インターネットエッジ インターネットエッジ Secure Device Connector Mgmt Mgmt Mgmt Mgmt Lightweight VM
13
Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは? 何ができる? SAL ポジショニング ロードマップ © Cisco and/or its affiliates. All rights reserved
14
具体的にどんなことができるの? 日本語対応 デバイス管理 FTDのStoS、RA VPN設定可能 オブジェクト(グループ含む)の作成・管理
デバイス登録/設定変更/アップグレード/トラブルシューティング etc… オブジェクト(グループ含む)の作成・管理 FWポリシーの作成と管理 FTDマイグレーション StoS VPN接続状況の監視 テンプレートを使って新規デバイスを簡単にデプロイ可能。※このタブからはASAのみ。別タブよりFTDもテンプレート利用可能 操作ログ、変更履歴 SALのアドオンによりイベントの閲覧、およびSWCと連携したセキュリティ分析が可能。 ※FTDのみ
15
デバイス登録(Onboarding) 管理したいデバイスをクリック ASAv/FTDv のインストールおよび CLI ウィザードでの簡易初期セットアッ プ完了後、CDO とすぐに接続が可能。 以降の作業は CDO より可能 デバイスを入力 デバイスの管理IPを入力 ログイン情報を入力
16
Tokenを使ったデバイス登録 FDM 動的IPの環境でもOnbording可能 CDOでTokenを生成し、FDM経由でFTDにペースト
18
DEMO Time!
19
ASA から FTD へのマイグレーション Now BETA San Jose Branch
20
一括アップグレード スケジューリング可能
21
クラウドならではの実装の速さ! 2019年7月~10月までのCDOアップデート
簡素化されたオペレーション FTDにおけるトークンベースのクラウドへのダ イレクトオンボーディング (Branch, DHCP) DUOを使用したCisco Secure Sign On ASA から FTD へのマイグレーション パラメータ変更可能なテンプレート FTD ライセンス管理 広範囲なインテグレーション Cloud based logging (SAL) ※FTDのみ CTRとの連携 Firewall の分析と検知 Meraki MX L3/L4 AWS Security groups管理 Firewall管理の拡張 S2S and RA VPN 管理 ※FTD 冗長構成(HA)管理 HA イメージアップグレード 6.5 サポート 4100 and 9300 サポート ASA time range objects and policies 営業ツール Newデータシート、オーダリングガイド CDO PoV ガイド dCloud live デモ Logging estimator tool 21
22
Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは? 何ができる? SAL ポジショニング ロードマップ © Cisco and/or its affiliates. All rights reserved
23
ファイアウォールの役割とは? ロギング アクセスコントロール ネットワークサービス ACL、IPS、コンテンツ検査、リモートアクセス
ルーティング (スタティック・ ダイ ナミック・ポリシー)、 Network Address Translation (NAT) ロギング トラブルシューティング、アカウント、コンプライアンス
24
ファイアウォールロギングの今日の課題 FMC によるログと解析 サードパーティログ管理製品 - 複数のシステムが生み出す複雑性
- ログ分析なし(主に保管用途) - 保守するVM機器の増加 - 保存量はストレージに依存 + 詳細なデータ + 閲覧しやすい - 解析のための製品連携が煩雑 - 限定的な保存期間 (サイジングに依存)
25
Cisco Security Analytics and Logging(SAL)とは
高度な分析機能を備えたクラウドベースのロギングによる効果的なポリシー管理 ファイアウォールおよびネットワークログをクラウドに安全に保存し、CDOからアクセスおよび検索可能 ログを分析し、高忠実度(High-Fidelity)のアラートに識別、強化する インシデントへの対応がよりスマートになり、調査にかかる時間を削減 業界最高のセキュリティ分析を使用して侵害検知能力を強化
26
CDO&SAL サマリ Cisco Defense Orchestrator Stealthwatch Cloud NGFW オンプレミス
Cisco Cloud Cisco Security Service Exchange(SSE) Network Threat Defense(NTD) ログ閲覧 ログ保管・解析 On-pre or Cloud ・Secure Device Connector(SDC) ・Secure Event Connector(SEC) *optional NGFW オンプレミス
27
Security Analytics & Logging
3種類のパッケージ Cisco Defense Orchestrator Logging & Troubleshooting SSE Firewall Analytics & Detection Cisco Cloud NTD Total Network Analytics オンプレミス ネットワーク Stealthwatch Cloud
28
Logging & Troubleshooting
Cisco Defense Orchestrator NTD経由のログ送信 Event Logs SWCのストレージ利用 CDOによる閲覧 ※Event Logging オンプレミス ネットワーク Stealthwatch Cloud Storage
29
Firewall Analytics & Detection
Cisco Defense Orchestrator Logging & Troubleshooting パッケージ内容 Event Logs NGFWから送信される5タプルデータをテレメトリーとして活用 解析用ポータルとしてSWC利用可能 オンプレミス ネットワーク Telemetry Stealthwatch Cloud Storage
30
Total Network Analytics
Cisco Defense Orchestrator Firewall Analytics & Detectionパッケージ内容 Event Logs オンプレミスネットワーク デバイスの解析 50 SWC Sensor 50エンドポイント ライセンス オンプレミス ネットワーク Telemetry SWC Sensor Stealthwatch Cloud SWC Sensor 簡単な実装 Storage
31
CDO & SALのフロー詳細 – FTD と SDC/SEC
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server
32
CDO & SALのフロー詳細 – SDC/SEC と SSE
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud SSE Service Deice 登録とCDO URLの取得 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server
33
CDO & SALのフロー詳細 – SDC/SEC と NTD
FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud JSON SSE Service CDO設定 FTD/ASAの自動化 Deice 登録とCDO URLの取得 API NTD Service イベントログ転送 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server
34
Cisco Defense Orchestrator
CDO & SALのフロー詳細 – 全体像 CDOがSWCよりEventを取得 SWCポータルへのピボット SWC APIs FTD Event Storage Stealthwatch Cloud Cisco Defense Orchestrator Cisco Cloud JSON or API SSE Service CDO設定 FTD/ASAの自動化 Deice 登録とCDO URLの取得 NTDサービスによってイベントログはJSONフォーマットに変換 API FTD 6.4 SDC (オンプレミスVM) が必要。2つのコネクタで構成: SDCデバイス証明、登録、接続 Secure Events Connector (Syslog Proxy) NTD Service イベントログ転送 FTD イベント SDC/ SEC FTD コンフィグ Device Switch Router WAN Router Firewall Data Center Switch Server
35
Logging & Troubleshooting from CDO
36
Firewall Analytics & Detection / Network Total Analytics from CDO
CDOイベントを利用したStealthwatch Cloud上でのセキュリティ解析
37
Stealthwatch Cloudへピボット
セッショントラフィックの閲覧
38
脅威の分析 アラートの閲覧とアサイン
39
ALERT: Anomaly detected
ログ解析を元にしたファイアウォールの脅威検知の向上 インターネット上の野良DNS ALERT: Anomaly detected インターネットへのSMBコネクション インターネットへの広帯域通信・情報の持ち出し 内向きのポートスキャン 新規の外部サーバとの接続 リスクのある国との通信 インターネットからのリモートアクセスの実施・失敗 地理情報的な異常リモートアクセス
40
SAL+Firepower = トータルネットワーク可視化
ファイアウォールログ トラブルシューティング アカウント コンプライアンス 限定されたリテンション Security Analytics & Logging イベントログの可視化 すぐに利用できる脅威検知 パブリック/プライベート、オンプレミス 最低90日間のリテンション
41
Cisco Security Analytics & Logging (SAL) ライセンス
90日間ログ保管 (1、5、10、15、25 GB /日) /テナント 注釈 1/3/5年 サブスクリプション Lic TA -Total Network Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW SWC Analytics for PNM 内部ネットワークに対する拡張行動解析 Logging Service 選択された収集率で90日間のログを保存するために必要な保管容量 テナント/顧客おける、CDO管理されたファイアウォール全体で保管領域を共有 SWC Analytics for NGFW 収集率に応じて送信されたログの行動解析を行う SWC Analytics for PNM 1GB/日のNGFWログ収集率毎にPNMの為の50エンドポイントライセンス * PNM : Private Network Monitoring 1/3/5年 サブスクリプション Lic FA - Firewall Analytics & Detections (SWC UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service ファイアウォールログにおける行動ベース脅威解析 SWC Analytics for NGFW シングル PID 1/3/5年 サブスクリプション Lic LT - Logging and Troubleshooting (CDO UI) ニア・リアルタイムイベント閲覧 – 検索、ソート、フィルタ Logging Service テナント毎 シングル PID シングル PID Cisco Defense Orchestrator (全てのパッケージに必要) ファイアウォール毎 Logging Estimator FW毎 シングルPID 1/3/5年 サブスクリプション (必須)
42
Logging Volume Estimator
1日に必要なログ保存量を算出するツール
43
Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは? 何ができる? SAL ポジショニング ロードマップ © Cisco and/or its affiliates. All rights reserved
44
どのようなケースにCDOがマッチするか? クラウドファースト戦略を検討中のお客様 複数のASAを管理しているお客様
今後ASAからFTDの移行を検討しているお客様 ASA、NGFW(FTD)、Meraki MXを含むシスコネットワークセキュリティ製品が複数存在しているお客様 ロギングと脅威分析の要件があるお客様 Page 44
45
どのマネージャーがお客様環境に適しているのか?
FMC CDO FDM マネージャーロケーション オンプレミス クラウド オンデバイス マネージャータイプ マルチ デバイス マルチデバイス マルチプラットフォーム シングルデバイス どこにフォーカスしているか? SecOps NetOps 簡素化された NGFW管理 サポートプラットフォーム NGFW, NGIPS NGFW, ASA, MX, AWS VPC NGFW 複数のプロダクトに跨るポリシー共有 イベンティング FMC, Syslog, Estreamer, CTR Syslog, Cloud Logging, CTR FDM, Syslog, CTR
46
NGFWv running in public cloud
CDOユースケース Use case Managers of choice Details インターネットエッジ CDO or FMC ネットワーク管理者のためにCDOの使いやすさ, SALでのロギングと脅威分析をアピール 高度なセキュリティ分析をしたければFMCを どちらの優先度が高いかをお客様に確認する 支店/分散拠点 CDO FTDs でトークンを使ったロータッチプロビジョニング SALでのロギングと脅威分析 SME/ リテール CDO or FDM FDM または CDOによりより優れたユーザビリティを提供 複数導入予定の場合にはCDOを推奨 Data center Edge / Core / Campus fabric FMC FMC supports advanced security analytics, clustering, TrustSec NGFWv running in public cloud FMC supports NGFWv in AWS and Azure NGIPS FMC supports all the advanced IPS features, and provides a separate interface from the Firewall
47
Cisco Defense Orchestrator & Security Analytics and Logging
CDOとは? 何ができる? SAL ポジショニング ロードマップ © Cisco and/or its affiliates. All rights reserved
48
CDOロードマップ 簡素化されたオペレーション Firewall管理の拡張 ポリシーオーケストレー ション 広範囲なインテグレーション
FTD ヒットカウント 更新された変更ログの保持 広範囲なインテグレーション Meraki ネイティブオブジェクトサポート SAL & CTRへのダイレクト送信 VPN作成のためのUmbrella/SIGサポート Firewall管理の拡張 AnyConnect イメージ管理 トラブルシューティングのための FTD CLIサポート 追加の S2S VPNオプションサポー ト ポリシーオーケストレー ション ルールセット Objects上書き ルールのCopy / paste機能拡張 AMP file policy 48
49
SALロードマップ 90日以上のコールドストレージ対応
Stealthwatch Cloud PortalでのIPSやMalwareイベント の取り込みと解析 追加予定のイベントをベースとした新しいアラート コネクションイベントからの新しいフィールドの活用 (認証済ユーザ, ドメイン名, URL, App-ID) ASA とMerakiに対するSALサポート検討
50
CDO 30日間無料トライアルのご案内
51
SAL 30日間無料トライアルのご案内 CDO利用が前提(ない場合にはCDOのトライアル申請が先)
CDOより監視 > Event Loggingから申請 ※本トライアルで利用できるのはLTのみ。(Event only) SWCを利用したい場合には別途営業までご相談ください。
52
関連コンテンツ マニュアル ※CDO、SALともに オーダリングガイド dcloud instant demo
オーダリングガイド CDO: SAL: dcloud instant demo Cisco Defense Orchestrator v2 - Instant Demo demo?returnPathTitleKey=content-view&isLoggingIn=true
Similar presentations
© 2025 slidesplayer.net Inc.
All rights reserved.